設(shè)的參數(shù)值�����,所述第一屬性使用線程安全的原子類型作為數(shù)據(jù)類型��,并通過定時(shí)器定時(shí)將第一屬性的值置為第二屬性的值�。
[0087]以上所述僅為本發(fā)明的較佳實(shí)施例而已����,并不用以限制本發(fā)明���,凡在本發(fā)明的精神和原則之內(nèi)�����,所做的任何修改����、等同替換、改進(jìn)等����,均應(yīng)包含在本發(fā)明保護(hù)的范圍之內(nèi)。
【主權(quán)項(xiàng)】
1.一種細(xì)粒度分布式接口訪問控制方法��,其特征在于����,所述方法包括: 接收到用戶發(fā)送的接口訪問請(qǐng)求后,判斷該用戶的本次接口訪問請(qǐng)求與前一次接口訪問請(qǐng)求的時(shí)間間隔是否小于預(yù)設(shè)的訪問間隔時(shí)間閾值����,若小于則攔截本次接口訪問請(qǐng)求;接收到用戶發(fā)送的接口訪問請(qǐng)求后���,判斷在預(yù)設(shè)的周期內(nèi)與該用戶相關(guān)的接口訪問次數(shù)配額是否使用完�����,若使用完則攔截本次接口訪問請(qǐng)求�, 當(dāng)兩次接口訪問請(qǐng)求的時(shí)間間隔不小于預(yù)設(shè)的訪問間隔時(shí)間閾值且在預(yù)設(shè)的周期內(nèi)與該用戶相關(guān)的接口訪問次數(shù)配額未使用完時(shí),對(duì)該接口訪問請(qǐng)求進(jìn)行處理�,記錄接收到該用戶本次接口訪問請(qǐng)求的時(shí)間戳,執(zhí)行周期內(nèi)與該用戶相關(guān)的接口訪問次數(shù)配額記錄值的遞減操作�。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于�����,所述的訪問間隔時(shí)間閾值包括用戶組訪問間隔時(shí)間閾值和單用戶訪問間隔時(shí)間閾值���; 所述判斷該用戶的本次接口訪問請(qǐng)求與前一次接口訪問請(qǐng)求的時(shí)間間隔是否小于預(yù)設(shè)的訪問間隔時(shí)間閾值的步驟具體為: 判斷該用戶本次請(qǐng)求與前一次的請(qǐng)求的時(shí)間間隔是否小于該用戶所屬用戶組的訪問間隔時(shí)間閾值����,若小于則攔截本次接口訪問請(qǐng)求�����; 判斷該用戶本次請(qǐng)求與前一次的請(qǐng)求的時(shí)間間隔是否小于該用戶對(duì)應(yīng)的單用戶訪問間隔時(shí)間閾值����,若小于則攔截本次接口訪問請(qǐng)求。
3.根據(jù)權(quán)利要求1或2所述的方法�����,其特征在于��,所述與用戶相關(guān)的接口訪問次數(shù)配額包括:用戶組訪問次數(shù)配額和單用戶訪問次數(shù)配額�����; 所述判斷在預(yù)設(shè)的周期內(nèi)與該用戶相關(guān)的接口訪問次數(shù)配額是否使用完的步驟具體為: 判斷在當(dāng)前周期內(nèi)用戶組訪問次數(shù)配額是否用完����,若用完則攔截本次接口訪問請(qǐng)求; 判斷在當(dāng)前周期內(nèi)單用戶訪問次數(shù)配額是否用完�,若用完則攔截本次接口訪問請(qǐng)求。
4.根據(jù)權(quán)利要求1所述的方法���,其特征在于���,在執(zhí)行所述判斷步驟之前,所述方法還包括: 在接收到用戶發(fā)送的接口訪問請(qǐng)求時(shí)�����,從請(qǐng)求中獲取用于用戶身份認(rèn)證的信息����,對(duì)用戶身份進(jìn)行合法性驗(yàn)證�����,若未通過用戶身份認(rèn)證��,則攔截本次接口訪問請(qǐng)求�����;和/或 在接收到用戶發(fā)送的接口訪問請(qǐng)求時(shí)��,根據(jù)預(yù)設(shè)的安全地址列表判斷請(qǐng)求報(bào)文的源地址是否為所述安全地址列表中的地址��,若不在所述安全地址列表內(nèi)�����,則攔截本次接口訪問請(qǐng)求���。
5.根據(jù)權(quán)利要求1所述的方法,其特征在于��,在多核并行對(duì)同一分布式接口進(jìn)行訪問控制的場(chǎng)景下�����,在內(nèi)存中分別為所述訪問間隔時(shí)間閾值及所述的與該用戶相關(guān)的接口訪問次數(shù)配額定義實(shí)體類,所述實(shí)體類包含第一屬性及第二屬性��; 所述為與該用戶相關(guān)的接口訪問次數(shù)配額定義的實(shí)體類的第一屬性用于存放用戶當(dāng)前剩余的訪問次數(shù)配額值�,第二屬性用于存放系統(tǒng)中預(yù)設(shè)的訪問次數(shù)配額����,所述第一屬性使用線程安全的原子類型作為數(shù)據(jù)類型,并通過定時(shí)器定時(shí)將第一屬性的值置為第二屬性的值��; 所述為訪問間隔時(shí)間閾值定義的實(shí)體類的第一屬性第一屬性使用線程安全的原子類型作為數(shù)據(jù)類型����,用于存放用戶前一次接口訪問請(qǐng)求的時(shí)間戳,第二屬性用于存放系統(tǒng)中預(yù)設(shè)的訪問間隔時(shí)間閾值��。
6.一種細(xì)粒度分布式接口訪問控制裝置��,其特征在于���,該裝置包括: 第一訪問控制模塊�,用于在接收到用戶發(fā)送的接口訪問請(qǐng)求后�,判斷該用戶的本次接口訪問請(qǐng)求與前一次接口訪問請(qǐng)求的時(shí)間間隔是否小于預(yù)設(shè)的訪問間隔時(shí)間閾值,若小于則攔截本次接口訪問請(qǐng)求�; 第二訪問控制模塊����,用于在接收到用戶發(fā)送的接口訪問請(qǐng)求后�,判斷在預(yù)設(shè)的周期內(nèi)與該用戶相關(guān)的接口訪問次數(shù)配額是否使用完,若使用完則攔截本次接口訪問請(qǐng)求�; 處理模塊,用于當(dāng)兩次接口訪問請(qǐng)求的時(shí)間間隔不小于預(yù)設(shè)的訪問間隔時(shí)間閾值且在預(yù)設(shè)的周期內(nèi)與該用戶相關(guān)的接口訪問次數(shù)配額未使用完時(shí)���,對(duì)該接口訪問請(qǐng)求進(jìn)行處理����,記錄接收到該用戶本次接口訪問請(qǐng)求的時(shí)間戳�,執(zhí)行周期內(nèi)與該用戶相關(guān)的接口訪問次數(shù)配額記錄值的遞減操作。
7.根據(jù)權(quán)利要求6所述的裝置����,其特征在于,所述的訪問間隔時(shí)間閾值包括用戶組訪問間隔時(shí)間閾值和單用戶訪問間隔時(shí)間閾值�����; 所述第一訪問控制模塊進(jìn)一步包括: 第一控制子單元�,用于判斷該用戶本次請(qǐng)求與前一次的請(qǐng)求的時(shí)間間隔是否小于該用戶所屬用戶組的訪問間隔時(shí)間閾值,若小于則攔截本次接口訪問請(qǐng)求����; 第二控制子單元��,用于判斷該用戶本次請(qǐng)求與前一次的請(qǐng)求的時(shí)間間隔是否小于該用戶對(duì)應(yīng)的單用戶訪問間隔閾值��,若小于則攔截本次接口訪問請(qǐng)求。
8.根據(jù)權(quán)利要求6或7所述的裝置����,其特征在于,所述與用戶相關(guān)的接口訪問次數(shù)配額包括:用戶組訪問次數(shù)配額和單用戶訪問次數(shù)配額�����; 所述第二訪問控制模塊進(jìn)一步包括: 第三控制子單元�����,判斷在當(dāng)前周期內(nèi)用戶組訪問次數(shù)配額是否用完��,若用完則攔截本次接口訪問請(qǐng)求�; 第四控制子單元,判斷在當(dāng)前周期內(nèi)單用戶訪問次數(shù)配額是否用完��,若用完則攔截本次接口訪問請(qǐng)求����。
9.根據(jù)權(quán)利要求6所述的裝置��,其特征在于�,所述裝置還包括: 認(rèn)證模塊���,用于在接收到用戶發(fā)送的接口訪問請(qǐng)求時(shí)���,從請(qǐng)求中獲取用于用戶身份認(rèn)證的信息,對(duì)用戶身份進(jìn)行合法性驗(yàn)證����,若未通過用戶身份認(rèn)證,則攔截本次接口訪問請(qǐng)求���;和/或 安全列表模塊�,用于在接收到用戶發(fā)送的接口訪問請(qǐng)求時(shí)���,根據(jù)預(yù)設(shè)的安全地址列表判斷請(qǐng)求報(bào)文的源地址是否為所述安全地址列表中的地址�����,若不在所述安全地址列表內(nèi)���,則攔截本次接口訪問請(qǐng)求�����。
10.根據(jù)權(quán)利要求6所述的裝置����,其特征在于�,在多核并行對(duì)同一分布式接口進(jìn)行訪問控制的場(chǎng)景下�,所述第一訪問控制模塊在內(nèi)存中為所述預(yù)設(shè)的訪問間隔時(shí)間閾值定義第一實(shí)體類,所述第二訪問控制模塊在內(nèi)存中為所述與該用戶相關(guān)的接口訪問次數(shù)配額定義第二實(shí)體類����; 所述第一實(shí)體類的第一屬性使用線程安全的原子類型作為數(shù)據(jù)類型,用于存放該用戶前一次接口訪問請(qǐng)求的時(shí)間戳�,第二屬性用于存放系統(tǒng)中預(yù)設(shè)的訪問間隔時(shí)間閾值; 所述第二實(shí)體類的第一屬性使用線程安全的原子類型作為數(shù)據(jù)類型�����,用于存放該用戶當(dāng)前剩余的訪問次數(shù)配額值�,第二屬性用于存放系統(tǒng)中預(yù)設(shè)的訪問次數(shù)配額,并通過定時(shí)器定時(shí)將第一屬性的值置為第二屬性的值。
【專利摘要】本發(fā)明提供一種細(xì)粒度分布式接口訪問控制方法及裝置�,本發(fā)明從用戶組及單個(gè)用戶兩個(gè)級(jí)別上,使用訪問間隔時(shí)間及訪問頻率兩種控制方式��,結(jié)合用戶身份認(rèn)證及安全地址列表多種安全機(jī)制�����,通過可動(dòng)態(tài)更新的控制參數(shù)����,實(shí)現(xiàn)動(dòng)態(tài)的細(xì)粒度的分布式接口訪問控制,從而增強(qiáng)了分布式接口的安全性�����,減輕了分布式接口服務(wù)器的負(fù)載�,提高了系統(tǒng)安全控制的靈活性。
【IPC分類】H04L29-06, H04L29-08
【公開號(hào)】CN104639650
【申請(qǐng)?zhí)枴緾N201510089591
【發(fā)明人】王文巖, 李思捷
【申請(qǐng)人】杭州華三通信技術(shù)有限公司
【公開日】2015年5月20日
【申請(qǐng)日】2015年2月27日